Skygofree już od 4 lat inwigiluje system Android

Przeczytaj także: Loapi - nowy trojan na Androida

Skygofree to wyrafinowane, wieloetapowe oprogramowanie szpiegujące, które infekuje system Android i przekazuje kontrolę nad urządzeniem ofiary w ręce atakującego. Program nie jest jednak żadnym novum - o jego aktywności mówiło się już pod koniec 2014 roku. Przez lata ówczesna wersja została jednak w znacznym stopniu udoskonalona. Dziś Skygofree, czego nie obserwowano nigdy wcześniej, może np. podsłuchiwać prowadzone w pobliżu rozmowy oraz dźwięki po znalezieniu się zainfekowanego urządzenia w określonej lokalizacji. Jego inne, wcześniej niespotykane funkcjonalności to:

• wykorzystywanie usług dostępności w celu kradzieży wiadomości z komunikatora WhatsApp;
• możliwość połączenia zainfekowanego urządzenia z kontrolowaną przez atakujących siecią Wi-Fi.

Skygofree pełen jest wielu szkodliwych narzędzi (tzw. exploitów), dzięki którym cyberprzestępcy zyskują dostęp do systemu Android z prawami administratora, mogą wykonywać zdjęcia, kręcić filmy, przechwytywać rejestry połączeń, SMS-y, geolokalizację, wydarzenia z kalendarza oraz przechowywane w pamięci urządzenia informacje związane z działalnością biznesową. Specjalna funkcja pozwala mu obejść technikę oszczędzania baterii, zastosowaną przez jednego z czołowych producentów smartfonów: szkodnik dodaje się do listy „chronionych aplikacji”, dzięki czemu nie jest automatycznie wyłączany wraz z wygaszeniem ekranu.

Wprawdzie Skygofree powstał z myślą o systemie Android, to wydaje się, że atakujący są również zainteresowani użytkownikami systemu Windows – badacze z Kaspersky Lab znaleźli wiele opracowanych niedawno modułów atakujących tę platformę.

Większość spreparowanych stron docelowych wykorzystywanych do rozprzestrzeniania szkodnika zarejestrowano w 2015 r., kiedy to, według telemetrii Kaspersky Lab, prowadzono najaktywniejszą kampanię dystrybucyjną. Kampania ta nadal jest aktywna, a najnowsza domena została zarejestrowana w październiku 2017 r. Według danych jest już kilka ofiar, wszystkie we Włoszech.

Wysokiej jakości mobilne szkodliwe oprogramowanie jest bardzo trudne do zidentyfikowania i zablokowania, co wyraźnie wykorzystali twórcy Skygofree, rozwijając i usprawniając narzędzie, które potrafi skutecznie szpiegować swoje cele bez wzbudzania podejrzeń. Na podstawie śladów wykrytych w kodzie szkodliwego oprogramowania oraz przeprowadzonej przez nas analizy infrastruktury atakujących jesteśmy niemal pewni, że twórcą implantów Skygofree jest włoska firma IT, która oferuje rozwiązania inwigilujące przypominające produkty HackingTeam – powiedział Alex Firsh, analityk szkodliwego oprogramowania, Kaspersky Lab.

Badacze znaleźli 48 różnych poleceń, które mogą zostać wykorzystane przez atakujących i znacząco zwiększają zakres możliwości szkodnika.

Aby uzyskać ochronę przed zaawansowanymi mobilnymi szkodliwymi programami, Kaspersky Lab zaleca stosowanie niezawodnego rozwiązania bezpieczeństwa, które potrafi zidentyfikować i zablokować tego rodzaju zagrożenia na punktach końcowych, takiego jak np. Kaspersky Security for Mobile. Użytkownikom zaleca się ponadto zachowanie ostrożności w przypadku otrzymania e-maili od nieznanych osób i organizacji lub wiadomości, które zawierają nieoczekiwane prośby lub załączniki – i dokładne sprawdzenie legalności oraz pochodzenia stron internetowych przed kliknięciem jakichkolwiek odsyłaczy. W razie wątpliwości należy skontaktować się z dostawcą usług w celu weryfikacji. Administratorzy powinni włączyć funkcję kontroli aplikacji w swoich rozwiązaniach bezpieczeństwa mobilnego w celu kontrolowania potencjalnie szkodliwych programów podatnych na tego rodzaju atak.

Produkty Kaspersky Lab wykrywają wersje szkodnika Skygofree dla Androida jako HEUR:Trojan.AndroidOS.Skygofree.a oraz HEUR:Trojan.AndroidOS.Skygofree.b. Wersje dla systemu Windows są wykrywane jako UDS:DangerousObject.Multi.Generic.